De Autoriteit Persoonsgegevens (AP) heeft de controles op werving versterkt sinds 2024. In 2025 werden er voor meer dan 11 miljoen euro aan boetes opgelegd aan Nederlandse bedrijven voor AVG-overtredingen in het wervingsproces. In 2026 is AVG-naleving in werving niet langer een formaliteit — het is een operationele noodzaak. Hier is de complete checklist die elke Nederlandse MKB moet volgen. Waarom de AP harder gaat in 2026 Drie regulatoire ontwikkelingen convergeren: AP-richtlijnen over werving (begin 2025) — specifieke regels over CV's, video-interviews, AI-screening EU AI Act (in werking augustus 2026) — classificeert werving als "high-risk" voor AI EU Loontransparantie-richtlijn 2023/970 — verplicht vanaf juni 2026 Recente Nederlandse boetes (2025): Retailketen in Amsterdam: €2,4 miljoen voor opslag van CV's langer dan 6 maanden Software-bedrijf in Eindhoven: €1,1 miljoen voor AI-screening zonder DPIA Wervingsbureau Rotterdam: €2,8 miljoen voor ongedocumenteerd delen van kandidaten De 12 punten op de checklist voor Nederlandse MKB 1. Rechtsgrondslag voor elke gegevensverzameling Kandidaatdata mag alleen worden verwerkt op basis van Art. 6.1.b AVG (precontractuele maatregelen). Reclametoestemming voor talentpool: aparte opt-in. 2. Dataminimalisatie Vraag alleen wat relevant is voor de functie. Burgerlijke staat, religie, foto zijn GEEN verplichte gegevens — en hun afwezigheid mag de selectie niet beïnvloeden. 3. Bewaarbeperking — de befaamde 6 maanden Na afwijzing: maximaal 6 maanden bewaren (voor AGW-claims). Daarna: automatische verwijdering of gedocumenteerd toestemming voor talentpool. 4. Privacyverklaring in sollicitatieformulier Verplicht: zichtbaar voor verzending, met opsomming van ontvangers, bewaartijd, rechten van betrokkene. 5. Verwerkersovereenkomst (DPA) met elk tool ATS, e-mailprovider, video-interviewtool — voor elk een DPA volgens Art. 28 AVG nodig. Tools zoals Flowxtra leveren de DPA al ondertekenklaar. 6. Server in EU Aanbevolen: dataverwerking uitsluitend in EU. US-tools zonder duidelijke Schrems-II-oplossing zijn een boeterisico in 2026. 7. Recht op verwijdering — binnen 30 dagen Kandidaat moet via e-mail of selfservice kunnen verwijderen. Handmatige verwijdering is mogelijk maar foutgevoelig — geautomatiseerde ATS-functies zijn veiliger. 8. Recht van inzage (Art. 15) Op verzoek moet je binnen 30 dagen alle opgeslagen data overhandigen — inclusief beoordelingen, notities, e-mailverloop. 9. Niet-discriminerende AI-filters Als je AI-ondersteund CV-screening gebruikt: documenteer de logica (Art. 22 AVG + AI Act). Black-box-tools zonder verklaarbaarheid zijn hoog-risico in 2026. 10. Verwerkingsregister Verplicht vanaf 1 medewerker. Lijst alle wervingsprocessen — bron, doel, ontvangers, verwijdertermijn. 11. Effectbeoordeling (DPIA) bij profiling Als AI automatisch kandidaten voorsorteert: DPIA uitvoeren en documenteren. 12. Datalek-meldplicht Binnen 72 uur aan de AP. Voorbereide meldingsjabloon en noodplan sterk aanbevolen. Specifieke Nederlandse considerations Cookiebanner op carrièrepagina Nederland was streng met cookiehandhaving sinds 2024. Carrièrepagina's moeten: Cookiebanner voordat niet-strikt-noodzakelijke cookies worden geplaatst Tracking-pixels (Facebook, LinkedIn) alleen met toestemming Audit-trail van toestemming BSN-nummer BSN alleen bij noodzaak (bv. bij aanstelling, niet bij sollicitatie). Vraag NIET om BSN op het sollicitatieformulier. Diversiteits- en inclusiebeleid Nederlandse SER en wetgeving (Wet Toezicht Gelijke Kansen 2022) vereisen aandacht voor: Anti-discriminatie in selectie Documentatie van keuzecriteria Optionele DEI-monitoring (geanonimiseerd) Loontransparantie 2026 EU-richtlijn 2023/970 wordt in Nederland verplicht vanaf juni 2026: Salarisbereik in vacatures voor bedrijven met 100+ medewerkers Boetes tot 2% jaaromzet bij niet-naleving 71% Nederlandse kandidaten negeren al vacatures zonder salaris Welke tools vereenvoudigen naleving? De meeste ATS voldoen aan basisvereisten. Voor Nederlandse MKB maakt het detailniveau het verschil: EU-server-locatie standaard (geen US-datatransfer) Automatische verwijdering na configureerbare termijnen Selfservice-portaal voor inzage- en verwijderverzoeken DPA ondertekenklaar zonder extra verzoek Audit log voor elke data-operatie Cookiebanner-integratie voor carrièrepagina Flowxtra voldoet aan alle 6 punten standaard in elk plan — ook het gratis plan. De meest voorkomende fouten in Nederlandse MKB E-mails met sollicitaties in normale postvakken — geen verwijdertermijn, geen audit-log CV's in Google Drive — server in VS, Schrems-II-probleem CV's doorsturen aan headhunters zonder expliciete toestemming Talentpool zonder opt-in Excel-lijsten op privé-laptops Video-interview-opname zonder schriftelijke toestemming Hoe verloopt een AP-controle in praktijk? Schriftelijke aankondiging 7-14 dagen vooraf (kan ook onaangekondigd) Verzoek om documenten: verwerkingsregister, DPA, privacyverklaringen, audit-log Bezoek of videoconferentie: interview met DPO/verantwoordelijke Technische verificatie: test van portaal voor inzage/verwijderverzoeken Voorlopige uitspraak binnen 60-90 dagen Definitieve boete binnen 6-12 maanden Mediane boete voor Nederlandse MKB: €85.000-€220.000. Maximum: 4% jaaromzet. Praktisch voorbeeld: e-commerce in Utrecht E-commerce bedrijf met 58 medewerkers gecontacteerd door AP voor controle in 2024. Uitgangssituatie: CV's in gedeelde Google Drive-mappen — niet Schrems-II-conform Verwerkingsregister incompleet Geen DPA met video-interview-portaal Verwijdering kandidaten: handmatig, in 2 jaar nooit gebeurd Voorgestelde boete: €240.000. Na gedocumenteerde reorganisatie (compliant ATS, DPA, training, compleet register) en actieve samenwerking: verlaagd naar €72.000. Tijdsplan voor compliance: 4 maanden met Flowxtra ATS + externe DPO-training. Eindchecklist — 30 minuten zet je halverwege ☐ ATS met EU-server geconfigureerd ☐ Privacyverklaring in sollicitatieformulier ☐ DPA ondertekend met ATS en andere tools ☐ Verwerkingsregister bijgewerkt ☐ Automatische verwijdering na 6 maanden ☐ Persoonlijke Gmail/Outlook NIET gebruikt voor CV's ☐ AVG-training gedocumenteerd voor alle recruiters ☐ Procedure voor inzage-/verwijderverzoeken (max 30 dagen) ☐ Datalek-meldprocedure (max 72 uur) ☐ Voor AI-screening: DPIA + verplichte menselijke beoordeling ☐ Cookiebanner op carrièrepagina ☐ Salarisbereik in vacatures (bij 100+ medewerkers) Conclusie AVG in werving 2026 is geen theorie meer — de AP controleert actief. Voor Nederlandse MKB is een modern ATS met ingebouwde compliance-functies meer dan ooit zijn prijs waard. Probeer Flowxtra gratis — 3 actieve vacatures, EU-hosting, DPA inbegrepen, AVG-training gedocumenteerd, zonder creditcard. Beter €85.000 boete voorkomen dan €100/maand besparen op compliance-tools.